Petya, senza i privilegi da amministratore, non produce nessun danno al computer e ai dati.
Ecco qui che entra in gioco Mischa: nei casi in cui Petya non riesce ad ottenere questi privilegi, l’installer lancia al suo posto il ransomware Mischa.
Come si diffonde:
L’installer di Petya/Mischa è diffuso via mail, tramite un pdf che simula una domanda di lavoro, piuttosto convincente perché molto ben scritta, al contrario di molte email di questo tipo che spesso contengono errori ortografici o sintattici. Questa mail contiene in allegato una immagine del presunto richiedente (in .jpeg) e un eseguibile il cui nome inizia con PDF.
Talvolta invece nel corpo mail è inserito il collegamento ad un servizio di storage in cloud, spesso MagentaCloud, tramite il quale sono scaricabili gli stessi due file.
Il File .pdf è in realtà un eseguibile. L’eseguibile tenterà, come prima cosa, di installare Petya e, qualora non riesca ad ottenere i privilegi di amministrazione, installerà Mischa.
FATE ATTENZIONE: l'eseguibile si chiama PDF Bewerbungsmappe.exe.
Il Sistema invierà un messaggio, quando si fa doppio clic sul file, chiedendo il permesso per l'installazione. NEGATELO!
Che cosa fa?
Quando Mischa è installata eseguirà la scansione dei file e li cripterà usando un algoritmo di criptazione AES: al nome dei file verrà aggiunta una estensione di 4 caratteri.
Ad esempio il file "bilancio.xls" diverrà "bilancio.xls.7GP3" (ma sappiamo anche di estensioni come “.cRh8”, “.3P7m”, “.aRpt”).
La criptazione appare così (foto nera) e al termine apparirà una immagine con un teschio verde:
Cripta i seguenti tipi di file:
.txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm, .xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, .epub, .pdf, .jpg, .jpeg, .frm, .wdb, .ldf, .myi, .vmx, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .cfg, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .cs, .asp, .aspx, .cgi, .cpp, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .js, .jar, .py, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .lnk, .po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, .lib, .cert, .cat, .inf, .mui, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .3g2, .3gp, .asf, .asx, .mpg, .mpeg, .avi, .mov, .flv, .wma, .wmv, .ogg, .swf, .ptx, .ape, .aif, .wav, .ram, .ra, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, .amr, .mkv, .dvd, .mts, .qt, .vob, .3ga, .ts, .m4v, .rm, .srt, .aepx, .camproj, .dash, .zip, .rar, .gzip, .vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi
Come si può vedere Mischa cripta anche file eseguibili .exe, probabilmente allo scopo di impedire l’avvio di software antimalware.
Durante la criptazione salta invece i file collocati nelle seguenti cartelle:
\Windows
\$Recycle.Bin
\Microsoft
\Mozilla Firefox
\Opera
\Internet Explorer
\Temp
\Local
\LocalLow
\Chrome
Anche se in inglese, aggiungiamo questo ottimo video prodotto da Bleeping Computer
La richiesta di riscatto:In ogni cartella criptata Mischa lascerà due file con le richieste di riscatto: “YOUR_FILES_ARE_ENCRYPTED.HTML” e “YOUR_FILES_ARE_ENCRYPTED.TXT.”
Queste note contengono una spiegazione di ciò che è accaduto ai file e vari link a siti di pagamento Tor/Onion, specificando anche il codice personale che occorrerà inserire al momento del pagamento. Al contrario di Petya , Mischa è il classico ransomware che cripta i file e chiede un riscatto che attualmente si aggira intorno a 1.93 bitcoin, circa 875 dollari americani.
Togliamoci una curiosità!
Ma questi ransomware da dove provengono? Ecco uno screenshot della piattaforma in cui è in vendita il ransomware Mischa/Petya. La piattaforma si chiama Janus Cybercrime. La pagina di Mischa/Petya è ad oggi difficile da raggiungere perchè in versione beta-testing.
Come si può vedere, i cyber-criminali pubblicizzano i "vantaggi del prodotto" (alta possibilità di infezione, servizio di decriptazione gratuito, amministrazione facile ecc...)e i costi/profitti.
Sfortunatamente, al momento non c’è modo di recuperare i file.
Un consiglio è di verificare, tramite appositi tool, se le copie Shadow del sistema sono integre o meno: se intatte possono essere utilizzate per ripristinare precedenti versioni dei file criptati.
File associati col Ransomware Mischa:
YOUR_FILES_ARE_ENCRYPTED.HTML
YOUR_FILES_ARE_ENCRYPTED.TXT
PDFBewerbungsmappe.exe
Un consiglio è di verificare, tramite appositi tool, se le copie Shadow del sistema sono integre o meno: se intatte possono essere utilizzate per ripristinare precedenti versioni dei file criptati.
File associati col Ransomware Mischa:
YOUR_FILES_ARE_ENCRYPTED.HTML
YOUR_FILES_ARE_ENCRYPTED.TXT
PDFBewerbungsmappe.exe
Nessun commento:
Posta un commento